Upload
sylvain-maret
View
2.646
Download
1
Embed Size (px)
Citation preview
MARET Consulting | 109, chemin du Pont-du-Centenaire | CH 1228 Plan-les-Ouates | Tél +41 22 727 05 57 | Fax +41 22 727 05 50 | www.maret-consulting.ch
Conseil en technologies
Id e n t it é n u m é r iq u e&
AU TH EN TIF IC ATIO N FO R TE
25 février 2009Sylvain Maret / MARET Consulting
Conseil en technologieswww.maret-consulting.ch
"Le conseil et l'expertise pour le choix et la mise
en oeuvre des technologies innovantes dans la sécurité
des systèmes d'information et de l'identité numérique"
Conseil en technologieswww.maret-consulting.ch
Agenda
Identité numérique Authentification forte Pourquoi l’authentification forte? Technologies
OTP PKI Biométrie Autres
Les tendances 2009 Démonstrations
Conseil en technologieswww.maret-consulting.ch
Identité numérique ?
Beaucoup de définitions
Conseil en technologieswww.maret-consulting.ch
Un essai de définition…technique
Avatar
Bank
Mail / Achats
Social network
Monde réel
Monde virtuel
Lien technologique entre une identité réelle et une identité virtuelle
Conseil en technologieswww.maret-consulting.ch
Identité numérique sur Internet
Identification
Conseil en technologieswww.maret-consulting.ch
Identification et authentification ?
Identification Qui êtes vous ?
Authentification Prouvez le !
Conseil en technologieswww.maret-consulting.ch
Facteurs pour l’authentification
ce que l'entité c o n n a î t (Mot de passe)
ce que l'entité d é t ie n t (Authentifieur)
ce que l'entité e s t o u f a it (Biométrie)
Conseil en technologieswww.maret-consulting.ch
Définition de l’authentification forte
Conseil en technologieswww.maret-consulting.ch
Authentification forte
Une des clés de voûte de la sécurisation du système d’information
Conviction forte de MARET Consulting
Conseil en technologieswww.maret-consulting.ch
Protection de votre système d’information
Technologie authentification forte
Protocoles d’authentification
Données
Identiténumérique
Conseil en technologieswww.maret-consulting.ch
Pyramide de l’authentification forte
Conseil en technologieswww.maret-consulting.ch
Pourquoi l’authentification forte?
Conseil en technologieswww.maret-consulting.ch
Keylogger: une réelle menace
6191 keyloggers recensés en 2008 contre 3753 en 2007 (et environ 300 en 2000), soit une progression de 65 %
Conseil en technologieswww.maret-consulting.ch
Phishing - Pharming
Anti-Phishing Working Group recommande l’utilisation de
l’authentification forte
http://www.antiphishing.org/Phishing-dhs-report.pdf
Conseil en technologieswww.maret-consulting.ch
T-FA in an Internet Banking Environment
12 octobre 2005: le Federal Financial Institutions Examination Council (FFIEC) émet une directive
« Single Factor Authentication » n’est pas suffisant pour les applications Web financière
Avant la fin 2006 il est obligatoire de mettre en place un système d’authentification forte
http://www.ffiec.gov/press/pr101205.htm
La France commence à suivre le mouvement Banque Populaire en 2009
Conseil en technologieswww.maret-consulting.ch
Liberty Alliance souhaite accélérer l'adoption de l'authentification forte
8 novembre 2005: Liberty Alliance Project forme un groupe d’expert pour
l’authentification forte
The Strong Authentication Expert Group (SAEG)
Publication dès 2006 spécifications ID SAFE
Conseil en technologieswww.maret-consulting.ch
Les premières réactions… !
Les entreprises réalisent que l’authentification forte est une composante de base de la sécurité
PCI-DSS accélère le mouvement
Conseil en technologieswww.maret-consulting.ch
“Superior” user authentication
Conseil en technologieswww.maret-consulting.ch
Dans le monde grand public
Conseil en technologieswww.maret-consulting.ch
Les technologies d’authentification forte
Technologies en pleine mouvance
Technologie grand public
Technologies en pleine mouvances
Technologie grand public Technologie pour les entreprises
Tour d’horizon des solutions en 2009 (Non exhaustif)
Conseil en technologieswww.maret-consulting.ch
http://www.openauthentication.org/
Conseil en technologieswww.maret-consulting.ch
Modèle OATH
Conseil en technologieswww.maret-consulting.ch
Client Framework « Device » PhysiqueToken ou AuthentifieurTechnologies
Conseil en technologieswww.maret-consulting.ch
Authentication Method
Authentication Method:
a function for authenticating users or devices, including
One-Time Password (OTP) algorithms
public key certificates (PKI)
Biometry
and other methods SMS Scratch List TAN Etc.
Conseil en technologieswww.maret-consulting.ch
Authentification Token: définition
Composant Hardware ou Software « Authentifieur »
Implémente la ou les méthode(s) d’authentification
Réalise le mécanisme d’authentification en toute sécurité
Fournit un stockage sécurisé des « credentials » d’authentification
Conseil en technologieswww.maret-consulting.ch
Quel « Authentifieur » ?
Conseil en technologieswww.maret-consulting.ch
One-Time Password (OTP)
Mot de passe à usage unique Basé sur le partage d’un secret
Généralement utilisation d’une fonction de hachage
Pour Très portable (pour le mode non connecté)
Contre Pas de signature Pas de chiffrement Peu évolutif Pas de !n o n r é p u d ia t io n
Conseil en technologieswww.maret-consulting.ch
« Authentifieur » OTP
Conseil en technologieswww.maret-consulting.ch
Exemple: RSA SecurID
Conseil en technologieswww.maret-consulting.ch
PKI: Certificat numérique (X509)
Basé sur la possession de la clé secrète (RSA, etc.) Mécanisme de type « Challenge Response »
Pour Offre plus de services:
Authentification Signature Chiffrement – n o n r é p u d ia t io n
Contre Nécessite un moyen de transport sécurisé d e la c lép r iv é e
Pas vraiment portable
Conseil en technologieswww.maret-consulting.ch
« Authentifieur » PKI
Conseil en technologieswww.maret-consulting.ch
Le meilleur des deux mondes:
Technologie hybride: OTP & PKI
Conseil en technologieswww.maret-consulting.ch
Technologie SMS (OOB)
Conseil en technologieswww.maret-consulting.ch
Etude de cas: Skyguide
La sécurité alliée au login unique
Firewall Web application Web Single Sign On
Authentification forte via SMS
http://www.slideshare.net/smaret/etude-cas-skyguide-rsa-mobile
Conseil en technologieswww.maret-consulting.ch
OTP « Bingo Card »
9 2
AnyUser
******
Conseil en technologieswww.maret-consulting.ch
Les tendances 2009
Conseil en technologieswww.maret-consulting.ch
Token USB multi fonction
Conseil en technologieswww.maret-consulting.ch
Le monde des portables
SIM-Based Authentication
GemXplore 'Xpresso Java Card SIMs from Gemplus
OTA (Over-The-Air) technology
Conseil en technologieswww.maret-consulting.ch
Technologie OTA
http://www.gemplus.com/techno/ota/resources/white_paper.html
Conseil en technologieswww.maret-consulting.ch
Trusted Platform Module [TPM]
https://www.trustedcomputinggroup.org/home
Exemple: Authentification forte d’un portable avec technologie VPN SSL
Conseil en technologieswww.maret-consulting.ch
Multi Application Smart Card
Conseil en technologieswww.maret-consulting.ch
Technologie Mifare
Contactless technology that is owned by Philips Electronics
De Facto Standard
Convergence IT Security and Building Security
Conseil en technologieswww.maret-consulting.ch
EMV - CAP
Europay Mastercard Visa Initiative de: Master Card Visa
Utilise la technologie CAP Chip Authentication Protocol
Authentification forte et signature des transactions
Conseil en technologieswww.maret-consulting.ch
Risk Based Authentication
Conseil en technologieswww.maret-consulting.ch
Internet Passport: OTP & Biométrie
Conseil en technologieswww.maret-consulting.ch
Démonstration: OpenID & Axsionics
Conseil en technologieswww.maret-consulting.ch
OTP USB Yubico
OTP event Based
Pas de driver
Très simple d’usage
Simule un clavier
Conseil en technologieswww.maret-consulting.ch
Démonstration: Yubico
Conseil en technologieswww.maret-consulting.ch
La biométrie
Système « ancien » 1930 - carte d’identité avec photo Reconnaissance de la voix Etc.
Deux familles : Mesure des traits physiques uniques Mesure d’un comportement unique
Composé de bio- (du grec bios - «la vie») et de - métrie (du grec metron - «mesure»)
Conseil en technologieswww.maret-consulting.ch
Définition d’une identité numérique ?
Future of Ide ntity in the Information S ocie ty
Lien technologique entre une identité réelle et une identité virtuelle
Conseil en technologieswww.maret-consulting.ch
Le marché de la biométrie
Conseil en technologieswww.maret-consulting.ch
Mesure des traits physiques
Empreintes digitales Géométrie de la main Les yeux
Iris Rétine
Reconnaissance du visage Réseau veineux de la main ou du doigt Nouvelles voies
ADN, odeurs, oreille et « thermogram »
Conseil en technologieswww.maret-consulting.ch
Mesure d’un comportement
Reconnaissance vocale Signature manuscrite Démarche Dynamique de frappe
Clavier
Conseil en technologieswww.maret-consulting.ch
Une technologie très prometteuse
Vascular Pattern Recognition
By SONY
Conseil en technologieswww.maret-consulting.ch
Confort vs fiabilité
Conseil en technologieswww.maret-consulting.ch
Fonctionnement en trois phases
Conseil en technologieswww.maret-consulting.ch
Stockage des données ?
Par serveur d’authentification Problème de sécurité Problème de confidentialité Problème de disponibilité
Sur un support externe Meilleure sécurité Mode « offline » MOC = Match On card
Loi fédérale du 19 juin 1992 sur la protection des données (LPD)
Conseil en technologieswww.maret-consulting.ch
Equal Error Rate (EER)
Conseil en technologieswww.maret-consulting.ch
Biométrie en terme de sécurité?
Solution Biométrique uniquement ? Confort à l’utilisation N’est pas un plus en terme de sécurité (en 2009)
Doit être couplé à un 2ème facteurs Carte à puce par exemple
Conseil en technologieswww.maret-consulting.ch
Démonstration: Signature d’un email
Conseil en technologieswww.maret-consulting.ch
Matsumoto's « Gummy Fingers »
Etude Yokohama University
http://crypto.csail.mit.edu/classes/6.857/papers/gummy-slides.pdf
Conseil en technologieswww.maret-consulting.ch
Questions ?
Conseil en technologieswww.maret-consulting.ch
Quelques liens
http://www.idtheftcenter.org/ http://www.antiphishing.org/ http://sylvain-maret.blogspot.com/ http://fr.wikipedia.org/wiki/Authentification_forte http://www.openauthentication.org/ http://www.fidis.net/ http://idtheftblog.wordpress.com/ http://www.regardingid.com/
Conseil en technologieswww.maret-consulting.ch
Identité numérique